Page 22 - BACnet_Europe-Journal_43
P. 22

BACnet Insight


          ƒ  Identification of relevant threats: What potential   Cybersicherheit als integraler Bestandteil des Gebäudebetriebs
           attacks or disruptions could jeopardize operations?
                                               /dͬKd ZDW ŝŶ ĚĞŶ Leistungsphasen der HOAI
          ƒ  Determination of IT/OT security objectives: What secu-
           rity objectives must be achieved to meet the protec-  ZĞǀŽůǀŝĞƌĞŶĚĞ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐƵŶƚĞƌƐƵĐŚƵŶŐĞŶ ŝŵ  ĞƚƌŝĞď
                                               •
                                                 ŬƚƵĂůŝƐŝĞƌƵŶŐ ĚĞƐ /dͲ^ŝĐŚĞƌŚĞŝƚƐŬŽŶnjĞƉƚĞƐ ďĞŝ  ŶĚĞƌƵŶŐ ĚĞƌ  ŶĨŽƌĚĞƌƵŶŐĞŶ ĂƵƐ ĚĞŵ
                                                 ĞƚƌŝĞď ŽĚĞƌ ďĞŝ DćŶŐĞůŶ ǁćŚƌĞŶĚ ĚĞƌ 'ĞǁćŚƌůĞŝƐƚƵŶŐ
           tion requirements?
                                               hŵƐĞƚnjƵŶŐ ǀŽŶ ^ĐŚƵƚnjŵĂƘŶĂŚŵĞŶ
          ƒ  Derivation of tailored protective measures: What tech-  • •  hŵƐĞƚnjƵŶŐ ĚĞƐ /dͬKdͲZDWƐ ŝŶ ĚĞƌ  ƵƐĨƺŚƌƵŶŐ͕ ĚĞƌ /ŶďĞƚƌŝĞďŶĂŚŵĞ͕ ĚĞƌ  ďŶĂŚŵĞ
                                                mďĞƌŐĂďĞ ĂŶ ĚĞŶ  ĞƚƌĞŝďĞƌ͕  ŽŬƵŵĞŶƚĂƚŝŽŶĞŶ ƵŶĚ 'ĞŶĞŚŵŝŐƵŶŐĞŶ ǀŽŶ ƉŽƚ͘ /dͲZŝƐŝŬĞŶ
           nical and organizational measures are necessary to   /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐĂŶĨŽƌĚĞƌƵŶŐĞŶ͕ &ĞƐƚůĞŐƵŶŐ ǀŽŶ ^ĐŚƵƚnjŵĂƘŶĂŚŵĞŶ
                                               •  /ĚĞŶƚŝĨŝŬĂƚŝŽŶ ƌĞůĞǀĂŶƚĞƌ  ĞĚƌŽŚƵŶŐĞŶ ƵŶĚ  ƌŵŝƚƚůƵŶŐ ĚĞƌ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐnjŝĞůĞ
           achieve the security objectives?    •  /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐĂŶĨŽƌĚĞƌƵŶŐĞŶ ŝŶ  ƵƐƐĐŚƌĞŝďƵŶŐĞŶ͕ sŽƌŐĂďĞŶ Ĩƺƌ  ƵƐĨƺŚƌĞŶĚĞͬ
                                                /ŶƚĞŐƌĂƚŽƌĞŶ
                                               hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ ƵŶĚ ^ĐŚƵƚnjďĞĚĂƌĨĞ
          A key aspect of risk management is its iterative and   •   ĞĨŝŶŝƚŝŽŶ ĚĞƌ  ŶĨŽƌĚĞƌƵŶŐĞŶ ĚĞƐ ^ĐŚƵƚnjďĞĚĂƌĨƐ ŝĚĞŶƚŝĨŝnjŝĞƌƚĞƌ
                                                hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ ƵŶĚ  ďŐůĞŝĐŚ njƵƌ  ĞĚĂƌĨƐƉůĂŶƵŶŐ
                                               •   ƌŵŝƚƚůƵŶŐ ĚĞƌ ƌĞůĞǀĂŶƚĞŶ  ĞĚƌŽŚƵŶŐĞŶ ƵŶĚ ĚĞƌ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚƐnjŝĞůĞ
          revolving nature. Cyber security is not a one-time event,   •  &ŽƌƚƐĐŚƌĞŝďƵŶŐ ĚĞƌ  ƌŵŝƚƚůƵŶŐ /dͲďĂƐŝĞƌƚĞƌ ^LJƐƚĞŵĞ  © all pictures: Deutsche Bundesbank | © alle Bilder: Deutsche Bundesbank
          but a continuous process. Even after a building has been   sŽƌƵŶƚĞƌƐƵĐŚƵŶŐ͕ /dͲďĂƐŝĞƌƚĞ ^LJƐƚĞŵĞ͕ hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ
                                               •  /ŶŝƚŝŝĞƌƵŶŐ ƵŶĚ DŝƚǁŝƌŬƵŶŐ ďĞŝŵ /dͬKdͲZŝƐŝŬŽŵĂŶĂŐĞŵĞŶƚƉƌŽnjĞƐƐ
          handed over to the operator, the IT/OT security level   •   ĞƐĞƚnjƵŶŐ ĚĞƌ Ĩƺƌ ĚĞŶ /dͬKdͲZDW ďĞŶƂƚŝŐƚĞŶ ZŽůůĞŶ
                                               •  /ĚĞŶƚŝĨŝnjŝĞƌƵŶŐ ĚĞƌ hŶƚĞƌƐƵĐŚƵŶŐƐŐĞŐĞŶƐƚćŶĚĞ ƵŶĚ  ďŐůĞŝĐŚ njƵƌ  ĞĚĂƌĨƐƉůĂŶƵŶŐ
          must be regularly reviewed and adjusted. New threats,   •  <ŽŶnjĞƉƚŝŽŶͬ ŶƚǁŝĐŬůƵŶŐ /dͲďĂƐŝĞƌƚĞƌ >ƂƐƵŶŐĞŶ ƵŶĚ  ƌŵŝƚƚůƵŶŐ /dͲďĂƐŝĞƌƚĞƌ ^LJƐƚĞŵĞ
          technological developments, and changing operational   'ƌƵŶĚůĂŐĞŶĞƌŵŝƚƚůƵŶŐ /dͬKdͲ^ŝĐŚĞƌŚĞŝƚ ŝŶ  ĂƵƉƌŽũĞŬƚĞŶ
                                               •
                                                <ŝĐŬͲKĨĨ ƵŶĚ sŽƌƐƚĞůůƵŶŐ ĚĞƐ /dͬKdͲZŝƐŝŬŽŵĂŶĂŐĞŵĞŶƚƉƌŽnjĞƐƐĞƐ ;/dͬKdͲZDWͿ
          requirements require the continuous development of   •  sŽƌƐƚĞůůƵŶŐ ĚĞƌ ďĞŶƂƚŝŐƚĞŶ ZŽůůĞŶ ƐŽǁŝĞ ĞƌƐƚĞ  ďƐƚŝŵŵƵŶŐĞŶ njƵƌ  ĞƐĞƚnjƵŶŐ ĚĞƌ ZŽůůĞŶ
          security measures.
          Guide to Cyber Security in Building Automation
                                            Gebäude wurden in der einschlägigen Fachliteratur – ins-  Cybersicherheitsrisiken systematisch zu identifizieren, zu
          The guide “Cybersecurity in Building Automation”   besondere in älteren Ausgaben – häufig noch als isolierte   bewerten und durch geeignete Maßnahmen zu minimieren.
          developed by WG-FM is based on the construction and   Strukturen betrachtet. Dieses Paradigma hat sich grundle-
          service phases of the HOAI established in Germany. We   gend gewandelt. Heute steht außer Frage, dass moderne   Ein zentraler Bestandteil dieses Prozesses ist die Risiko-
          believe that combining planning and construction with   Gebäude längst keine isolierten Strukturen mehr sind, son-  analyse. Sie schafft die notwendige Risikotransparenz, um
          modern IT methods will create clear benefits for the   dern hochvernetzte Systeme, in denen Operational Techno-  fundierte Entscheidungen treffen zu können. Dabei geht
          entire life cycle of a building and allow the individual   logy (OT) und Information Technology (IT) nahtlos ineinan-  es nicht nur um die Identifikation von Schwachstellen,
          phases along the HOAI to be broken down accordingly.  dergreifen.    sondern auch um die Bewertung der potenziellen Auswir-
                                                                               kungen von Bedrohungen auf den Gebäudebetrieb.
          With the help of this guide and taking into account the   Diese Entwicklung, befeuert durch Markttrends und durch
          requirements of the BSI basic protection, all parties   gesetzliche Vorgaben  und  regulatorische Anforderungen,   Cybersicherheit als besondere Leistung schon bei
          involved  can  be  guided  and  supported  through  the   bringt jedoch nicht nur Effizienzgewinne, sondern auch neue   der Planung gemäß HOAI.
          individual phases in a targeted manner.  Herausforderungen mit sich – insbesondere im Bereich der                  Retrofit mit dem O3 Multisensor

                                            Cybersicherheit. Die Bedrohung durch Cyberangriffe auf   Die Bedeutung der Cybersicherheit, insbesondere des
          Conclusion: Cybersecurity as an Integral Part of   Gebäudeinfrastrukturen ist real und wächst stetig.  Risikomanagements spiegelt sich auch in der Honorar-
          Building Operations                                                  ordnung für Architekten und Ingenieure (HOAI) wider, wo
                                            Umfassende Anforderungen           es als besondere Leistung ausgewiesen ist. Dies unter-
          Cybersecurity in IT/OT and especially in building                    streicht, dass IT/OT-Sicherheit nicht als Nebenprodukt
          operations is not an option, but a necessity. The   Bisher war IT-Sicherheit  vor allem als  zentrale Aufgabe   betrachtet werden kann, sondern als eigenständige und
          methodical and risk-oriented approach, which is based   der klassischen Unternehmens-IT verankert. Inzwischen   essenzielle  Aufgabe im Planungs-, Errichtungs- und
          on standards such as the BSI basic protection, provides   erstreckt sich dieser Sicherheitsansatz jedoch zuneh-  Betriebsprozess.
          a  solid  and  scalable  foundation  for  systematically   mend als IT/OT-Sicherheit auch auf die Betriebstechno-
          addressing security risks. Our guide addresses this need   logie (OT) und damit auch ganzheitlich auf die Gebäude-  Ein methodischer  Ansatz zur IT/OT-Sicherheit integriert
          and clearly shows how cybersecurity requirements can   digitalisierung.  die relevanten Bestandteile der Risikoanalyse in die Leis-
          be integrated into the HOAI service phases and along                 tungsphasen der HOAI. Dies umfasst:
          the life cycle phases of a property in accordance with   Cybersicherheit ist somit als integraler Bestandteil des  ƒ  Klärung von Verantwortlichkeiten und Rollen: Bereits
          GEFMA-100.                        Gebäudebetriebs zu etablieren. Dabei ist es entscheidend,   in den frühen Planungsphasen müssen klare Zustän-                                                                        Website
                                            dass  die  Maßgabe  „Security  by  Design“  bereits  in  der   digkeiten für Bau, Betrieb und IT/OT-Sicherheit defi-
          This not only clarifies responsibilities and roles, but   Bedarfsermittlung berücksichtigt wird. Nur so können alle   niert werden.
          also enables targeted planning and implementation   Beteiligten – von Planern über Bauherren bis hin zu Betrei-  ƒ  Identifikation der Untersuchungsgegenstände: Wel-
          of protective measures. It is crucial to understand the   bern – auf einer fundierten Grundlage agieren.  che Systeme und Komponenten sind kritisch für den
          iterative nature of risk management in conjunction with                Gebäudebetrieb?
          HOIA and GEFMA: Cybersecurity is an ongoing process   Der Schlüssel: Ein methodischer und risikoorientierter  ƒ  Festlegung von Schutzbedarfen: Welche Verfügbar-
          that must be continuously maintained even after a   Ansatz.            keits-, Vertraulichkeits- und Integritätsanforderungen
          building has been commissioned.                                        bestehen für die identifizierten Systeme?
                                            IT/OT-Sicherheit im Gebäudebetrieb  ƒ  Identifikation relevanter Bedrohungen: Welche poten-
          The work cards, which have proven their worth since                    ziellen Angriffe oder Störungen könnten den Betrieb
          the initial publication of the  “Cybersecurity in Building   Die Grundlage für eine nachhaltige IT/OT-Sicherheit im   gefährden?                                                                                        Video
          Automation” guide in 2024 (see also issue 41 of the   Gebäudebetrieb ist ein methodischer und risikoorientierter  ƒ  Ermittlung der IT/OT-Sicherheitsziele: Welche Sicher-
          BACnet Europe Journal, page 29), have been updated and   Ansatz, der sich an bewährten Standards wie bspw. dem   heitsziele müssen erreicht werden, um die Schutzbe-
          are also systematically classified in the iterative process.  BSI-Grundschutz orientiert. Dieser  Ansatz ermöglicht es,   darfe zu erfüllen?


          22  BACnet Europe Journal 43 09/25
   17   18   19   20   21   22   23   24   25   26   27